Proofpoint publie PDF Object Hashing, un outil open source pour détecter les PDFs malveillants par empreinte structurelle

Source: Proofpoint (blog Threat Insight). Proofpoint annonce PDF Object Hashing, un outil open source de dĂ©tection et de chasse aux menaces centrĂ© sur la structure des documents PDF. 🧰 Fonctionnement. L’outil parse les PDFs pour extraire les types d’objets (Pages, Catalog, XObject/Image, Annots/Link, etc.) dans leur ordre d’apparition, en ignorant les paramĂštres spĂ©cifiques. Ces types sont concatĂ©nĂ©s puis hachĂ©s pour produire une empreinte unique (analogue Ă  un imphash pour les PE). Cette approche contourne la complexitĂ© du format PDF (espaces multiples, variantes de tables xref, chiffrement) en s’appuyant sur la hiĂ©rarchie documentaire plutĂŽt que sur le contenu dĂ©chiffrĂ©. ...

24 octobre 2025 Â· 2 min

Red Canary: Tampered Chef (malware Node.js stéganographique) domine le rapport de menaces de septembre 2025

Red Canary publie son rapport de threat intelligence de septembre 2025, dĂ©taillant les menaces les plus observĂ©es dans les environnements clients et comparant plusieurs trojans similaires. 🔎 En tĂȘte, Tampered Chef apparaĂźt comme un malware Electron/Node.JS qui traite du contenu stĂ©ganographiĂ© exĂ©cutant du code JavaScript arbitraire. Il se fait passer pour des applications de recettes ou de calendrier, avec une distribution via encarts/‍banniĂšres publicitaires promouvant des outils de comptage de calories. Ses diffĂ©renciateurs techniques clĂ©s incluent une architecture Electron Node.JS, des communications C2 basĂ©es sur la stĂ©ganographie, et une transition trompeuse de PUP vers malware. ...

24 octobre 2025 Â· 2 min

SLSH: un nouveau collectif mĂȘlant LAPSUS$, ShinyHunters et Scattered Spider exploite des failles Oracle et OpenShift AI

Selon Seqrite, en aoĂ»t 2025, le groupe Scattered LAPSUS$ Shiny Hunters (SLSH) a Ă©mergĂ© en combinant des tactiques de LAPSUS$, ShinyHunters et Scattered Spider, et en opĂ©rant un modĂšle d’Extortion-as-a-Service. Les cibles incluent les secteurs BFSI, technologie et gouvernement. Le groupe est liĂ© Ă  des intrusions touchant Discord, l’écosystĂšme Salesforce et Red Hat, via vishing et vol d’identifiants. SLSH a exploitĂ© deux vulnĂ©rabilitĂ©s critiques (CVSS 9.9) : CVE-2025-61882 permettant une exĂ©cution de code Ă  distance non authentifiĂ©e sur Oracle E‑Business Suite, et CVE-2025-10725 permettant une Ă©lĂ©vation de privilĂšges dans Red Hat OpenShift AI. ...

24 octobre 2025 Â· 2 min

SpecterOps dĂ©montre l’extraction d’identifiants via Remote Credential Guard sur des Windows entiĂšrement patchĂ©s

Source: SpecterOps — Dans une publication de recherche, les chercheurs dĂ©taillent des techniques permettant d’extraire des identifiants depuis des systĂšmes Windows entiĂšrement patchĂ©s, mĂȘme avec Credential Guard activĂ©, en abusant de Remote Credential Guard (RCG). Ils montrent que, depuis des contextes non privilĂ©giĂ©s comme SYSTEM, il est possible d’obtenir des rĂ©ponses NTLMv1 qui peuvent ĂȘtre craquĂ©es pour rĂ©cupĂ©rer des NT hashes. De maniĂšre surprenante, l’approche fonctionne aussi lorsque Credential Guard est dĂ©sactivĂ©. Microsoft a Ă©tĂ© notifiĂ© mais a dĂ©clinĂ© la prise en charge du problĂšme. Un outil de preuve de concept, DumpGuard, a Ă©tĂ© publiĂ©. đŸ§Ș🔧 ...

24 octobre 2025 Â· 2 min

76 000 pare-feux WatchGuard Firebox exposés à une vulnérabilité critique RCE (CVE-2025-9242)

Selon un extrait d’actualitĂ© publiĂ© le 20.10.2025, prĂšs de 76 000 appliances WatchGuard Firebox exposĂ©es sur Internet restent vulnĂ©rables Ă  une faille critique (CVE-2025-9242) permettant Ă  un attaquant distant d’exĂ©cuter du code sans authentification. Points clĂ©s: Produits concernĂ©s: WatchGuard Firebox (appliances de sĂ©curitĂ© rĂ©seau) VulnĂ©rabilitĂ©: CVE-2025-9242 (criticitĂ© Ă©levĂ©e) Impact: ExĂ©cution de code Ă  distance sans authentification (RCE) Exposition: ~76 000 appareils visibles sur le web public Tactiques/Techniques (TTPs): ExĂ©cution de code Ă  distance (RCE) sans authentification par un attaquant distant Il s’agit d’une brĂšve de vulnĂ©rabilitĂ© visant Ă  signaler l’ampleur de l’exposition et la gravitĂ© du risque identifiĂ©. ...

23 octobre 2025 Â· 1 min

Acteurs chinois exploitent ToolShell (CVE-2025-53770) pour cibler télécoms et agences gouvernementales

Selon SECURITY.COM (Threat Hunter Team, Symantec et Carbon Black), des acteurs basĂ©s en Chine ont menĂ© une campagne multi-cibles exploitant la vulnĂ©rabilitĂ© ToolShell (CVE-2025-53770) peu aprĂšs son correctif en juillet 2025, touchant un opĂ©rateur tĂ©lĂ©com au Moyen-Orient, des agences gouvernementales en Afrique et en AmĂ©rique du Sud, ainsi qu’une universitĂ© amĂ©ricaine. L’activitĂ© montre un intĂ©rĂȘt pour le vol d’identifiants et l’implantation d’accĂšs persistants et furtifs, Ă  des fins probables d’espionnage. ...

23 octobre 2025 Â· 3 min

Agences gouvernementales en Afrique et en Amérique du Sud compromises via une faille SharePoint

Selon The Record, des intervenants en rĂ©ponse Ă  incident ont rĂ©vĂ©lĂ© que des agences gouvernementales situĂ©es en Afrique et en AmĂ©rique du Sud font partie d’une longue liste d’organisations compromises via l’exploitation d’une vulnĂ©rabilitĂ© dans Microsoft SharePoint. Les hackers chinois exploitent la faille ToolShell pour cibler des gouvernements en Afrique et en AmĂ©rique du Sud Des Ă©quipes de rĂ©ponse Ă  incident de Symantec et du Carbon Black Threat Hunter Team ont identifiĂ© une sĂ©rie d’intrusions contre des agences gouvernementales, opĂ©rateurs tĂ©lĂ©coms et universitĂ©s dans plusieurs pays, liĂ©es Ă  la vulnĂ©rabilitĂ© CVE-2025-53770 surnommĂ©e ToolShell, signalĂ©e pour la premiĂšre fois par Microsoft en juillet 2025. Trois groupes chinois, dont Linen Typhoon et Violet Typhoon, exploitent activement cette faille dans SharePoint on-premise, utilisĂ© par des centaines d’administrations et d’entreprises dans le monde. ...

23 octobre 2025 Â· 2 min

Chevauchement APT27, HAFNIUM et Silk Typhoon: attribution 2025 et TTPs clés

Source: Natto Thoughts (Substack). Dans le contexte de divulgations du gouvernement amĂ©ricain en 2025, l’article examine les liens et chevauchements entre les groupes chinois APT27, HAFNIUM et Silk Typhoon, en soulignant les limites des taxonomies de nommage et l’intĂ©rĂȘt de relier les activitĂ©s Ă  des individus et entreprises spĂ©cifiques. L’analyse met en avant l’attribution Ă  des personnes nommĂ©es (Yin Kecheng, Zhou Shuai, Xu Zewei, Zhang Yu) et Ă  leurs sociĂ©tĂ©s affiliĂ©es, illustrant que comprendre les opĂ©rateurs humains (motivations, relations, culture) complĂšte les indicateurs purement techniques. ...

23 octobre 2025 Â· 2 min

CVE-2025-54918 : contournement NTLM/LDAP pour compromettre des contrĂŽleurs de domaine Active Directory

Selon CrowdStrike, cette analyse dĂ©crit CVE-2025-54918, une vulnĂ©rabilitĂ© critique permettant la compromission de contrĂŽleurs de domaine Active Directory via coercition d’authentification et NTLM relay. ⚙ MĂ©canisme: l’attaque abuse du protocole MS-RPRN (technique « PrinterBug ») pour forcer l’authentification du contrĂŽleur de domaine, intercepte les paquets NTLM, retire les drapeaux de sĂ©curitĂ© SEAL et SIGN tout en prĂ©servant LOCAL_CALL, puis relaie l’authentification modifiĂ©e vers LDAP/LDAPS afin d’obtenir des privilĂšges SYSTEM. Elle ne requiert qu’un compte de domaine faiblement privilĂ©giĂ© et contourne des contrĂŽles comme le channel binding et la signature LDAP. ...

23 octobre 2025 Â· 1 min

EnquĂȘte Huntress sur Qilin: intrusion via RDP, abus de ScreenConnect et dĂ©ploiement de ransomware sur des partages rĂ©seau

Source: Huntress — Dans un billet technique, Huntress dĂ©taille une enquĂȘte d’incident Qilin avec tĂ©lĂ©mĂ©trie minimale, reconstruite grĂące Ă  des artefacts Windows pour retracer l’attaque du premier accĂšs jusqu’au chiffrement. Les analystes ont travaillĂ© sans EDR, SIEM ni canaris ransomware, s’appuyant sur des journaux d’évĂ©nements Windows, AmCache et les journaux Program Compatibility Assistant (PCA). Ils ont identifiĂ© l’installation d’un RMM ScreenConnect non autorisĂ©, des transferts de fichiers suspects (r.ps1, s.exe, ss.exe) et une progression de l’attaque allant de l’accĂšs RDP Ă  l’exĂ©cution du ransomware. 🧭 ...

23 octobre 2025 Â· 2 min
Derniùre mise à jour le: 8 juillet 2026 📝